リフレクション攻撃とは?仕組み・被害・対策をわかりやすく解説!
サーバのセキュリティを簡単に考えていませんか?
サーバに脆弱性があるとサイバー攻撃の標的になるかもしれません。
脆弱なサーバを利用して行われるサイバー攻撃に、「リフレクション攻撃」と呼ばれるものがあります。
リフレクション攻撃は「サイトの機能不全」が目的です。
これはWEBサイトへ直接攻撃するDDoS攻撃よりも大規模な被害を与える攻撃といわれています。
- 攻撃された場合のダメージが大きくなりそうですね…。WEBサイトを運営している管理者はしっかりと対策しなければなりませんね!
- リフレクション攻撃対策は個人ユーザーも必要です。個人ユーザーが受けると知らぬ間に他のサイバー攻撃に利用される恐れがあります。
ここでは「リフレクション攻撃」の仕組みや被害、対策方法について詳しく解説します。
WEB上でサービスを提供する運営者がすべき対策、一般ユーザーが攻撃の踏み台にされないためにすべき対策についてもご紹介します。
リフレクション攻撃とは?
「リフレクション攻撃」とはインターネット上の無防備なサーバに対し、送信元を偽装してリクエストを行う攻撃です。
対象に大量のデータを送信して、機能麻痺を狙う反射型DoS攻撃となります。
攻撃の目的はサービスを妨害したり停止させること。
さまざまな手法があるDoS攻撃の中でも、最大規模の攻撃だといわれています。
ではdos攻撃がどんな攻撃なのかお伝えしていきましょう。
DoS攻撃とは?
WEBサイトを閲覧しているとき「サイトの読み込みが長すぎる」と感じたり、「タイムアウト接続エラー」が表示されることがあります。
サイトにアクセスしづらいのはサイトのサーバの性能が関係している場合もありますが、多くの場合は何らかのデータ受信が大量に続いているのが原因です。
- 人気チケットを取るときにサイトが混雑して「ただいまサイトに繋がりにくくなっています」と表示されますよね。
- Dos攻撃の形としてはまさにそれですね。
サーバが落ちてしまう流れ
同時間帯に多数のユーザーがサイトにアクセス
↓
アクセスに関するデータをサーバが処理し続ける
↓
サーバが処理の負荷に耐え切れずにサイトがダウン
アクセスが殺到するとサイトが「パンク」し閲覧できなくなります。
この性質を利用し、悪意をもってサーバに大量のデータを送るのが「DoS攻撃」です。
もっと詳しくDos攻撃を知りたい方は下記の記事もご覧ください。
リフレクション攻撃の仕組み
- 「DoS攻撃」はサイバー攻撃の1つとして広く認知されるようになりました。同時にボットネットのテイクダウン(攻撃者が遠隔操作を行うためのサーバを停止させる)事例が増えるなど、積極的な対策も増えています。
そこで従来の手法に代わって使われるようになったのが「リフレクション攻撃」です。
この攻撃は送信元からのリクエストに対して、すぐに回答する「リフレクション(反射)」を利用したもの。
攻撃先のサーバからの送信を装った偽のリクエストを大量に送信し、偽のリクエストに対する回答を攻撃先のサーバに集中させて攻撃します。
リフレクション攻撃を利用すると、従来よりも効率的に攻撃できるのです。
「DNSサーバ」を悪用したリフレクション攻撃の具体的な仕組みをみていきます。
- 1.ボットネット(複数のコンピュータで構成されるネットワーク)を構築し、遠隔操作を可能にする。
- 2.DNSリクエストの「送信元IPアドレス」を攻撃対象のIPアドレスに偽装し、DNSサーバに送る。
- 3.DNSサーバはリクエストの中にあるIPアドレスに対して回答する。
リフレクション攻撃では攻撃者がボットネットを経由してDNSリクエストを送るため、対象を直接攻撃する必要がありません。
自身が特定されにくくなり、さらに攻撃対象に大きな負荷をかけられます。
レスポンスの大きいサーバが狙われる
- リフレクション攻撃では「DNSサーバ」と「NTPサーバ」が悪用されるケースが多く見受けられます。それぞれのサーバを悪用した攻撃を「DNSリフレクション攻撃」「NTPリフレクション攻撃」と呼びます。
- なぜこの2つが狙われるのですか?
- これらのサーバは小さなメッセージに対して大きなデータが返ってくるからです。攻撃者が大量のデータを簡単に集中させられます。
2つのサーバのメッセージサイズ比率(リクエスト:回答)をみてみると、DNSは1:70、NTPは1:200。
仮にNTPサーバを使った場合、1Gbpsで攻撃したら、200Gbpsに増幅させてターゲットに送り付けられるのです。
このような理由から
- NetBIOSネームサーバー
- LDAP
- RPCボートマップ
- Sentinel
などのサーバが使われるケースも、多く見受けられます。
- それなら狙われやすいサーバを使わなければ、攻撃を受けるリスクが減りますよね?
- 確かにそうでなのですが…「DNS」や「NTP」サーバはネットワークユーザーにとって必要不可欠なものです。一体どんな役割を持つサーバなのか?簡単にご紹介します。
DNSサーバとは?
DNS(ドメインネームシステム)とは通信プロトコルの1つで、ドメインとIPアドレスを紐づけて管理するシステム。
この機能を司るのが「DNSサーバ」です。
DNSサーバが仲介役となり、特定のPCと通信したりWEBサイトを表示できます。
DNSサーバはインターネットの仕組みを支える重要な技術であり、DNSサーバがなければメールの送受信やWEBサイト閲覧ができません。
DNSの通信手段には「UDP」と呼ばれるプロトコルが使われているのですが、これはIPアドレスを簡単に偽装できてしまう欠点があります。
NTPとは?
NTPとはネットワークに接続されているコンピュータや機器の時刻同期に用いられるプロトコルで、DNSと並びインターネット上で長きにわたって利用されてきました。
NTPはネットワークを介して時刻同期を行います。
サーバとクライアント間の通信メッセージに、NTPメッセージを送信した時刻と受信した時刻を含め、ネットワークの遅延時間を推測して時刻同期をする仕組みです。
NTPによって世界中のコンピュータが時刻を共有でき、時刻に対する信頼性を維持できています。
NTPサーバには動作モニタリングのため「monlist」コマンドが備わっているものがあります。
このコマンドを使ってリクエストを送ると、直近に通信した最大600ホストものIPアドレスをリクエストとして回答する性質があります。
またNTPのプロトコルにも「UDP」が使われており、DNS同様IPアドレスの偽装が簡単にできます。
- 「DNS」も「NTP」もインターネットを使っている限り、避けて通れないサーバなのですね。
- 必要不可欠なサービスゆえに、攻撃者に脆弱性を突かれやすい面があります。
リフレクション攻撃で起こりうる被害
リフレクション攻撃をはじめとするDoS攻撃は、近年世界で最も猛威を振るっているサイバー攻撃です。
リフレクションを利用した攻撃サイズの増大にくわえ、サイトのダウンタイムの増加やクラウドサービスへの攻撃が目立っています。
ここではWEBサイトがリフレクション攻撃を受けた場合に起こりうる被害についてお伝えします。
オンラインゲームが使用不能に!多大な損失が発生
滞りない通信インフラと正常稼働するサーバがあってこそのオンラインゲームサービス。
多くのユーザーが課金する人気オンラインゲームが、リフレクション攻撃によって使用不能になったら…。
復旧できても運営・開発者の信用は失墜し、その後のビジネス機会損失は大きくなるでしょう。
リフレクション攻撃ではありませんが、DoS攻撃によってこのような被害に遭った事例があります。
このケースではサイトダウンから復旧までに半日以上の時間を要したうえ、復旧作業費にくわえユーザーへのお詫びポイント配布等で総額1憶7,000万円もの被害が生じました。
攻撃の停止と引き換えに金銭を要求された!
リフレクション攻撃を受けるとWEBサイトでシステム障害が発生します。
企業の主体事業となるクラウドサービスでそのような事態が起きたら、一刻も早い復旧のため全力を尽くさなければなりません。
そこに攻撃の犯人から「攻撃停止と引き換えに1億円を支払え」といわれたら…
これも海外で起きたDoS攻撃による被害事例です。
このケースでは攻撃によってフードデリバリーサービスの顧客注文がストップしたため、顧客への全額返金を余儀なくされました。
さらに犯人から攻撃停止と引き換えに金銭を要求されたため、損失額は相当な金額となりました。
- サイトが機能不全に陥ると運営者側に大きな被害が出ますね…。
- これらの事例はDoS攻撃によるものでしたが、より攻撃規模の大きいリフレクション攻撃を受けるとさらに被害は大きくなるでしょう。
リフレクション攻撃は複数のサーバを使って間接的に攻撃を仕掛けるため、攻撃者の特定が困難です。
遮断するIPアドレスを特定できないため、復旧に時間がかかる可能性が高くなります。
被害を防ぐためには、リフレクション攻撃を防ぐ対策が重要です。
リフレクション攻撃を防ぐ対策
企業サービスがインターネット上にシフトするとともに、クラウドサービスを狙ったリフレクション攻撃が増加しています。
クラウドサービスを提供する企業や組織は「攻撃を防ぐ対策」が重要です。
ここではWEBサイト運営者が行うべきリフレクション攻撃対策をみていきます。
不必要なポートをふさぐ
「IPアドレス」はよく、機器に割り当てられた「住所」に例えられます。
であれば「ポート」はその家の「玄関・窓」です。
玄関や窓に鍵をかけずにいたら、泥棒が入るでしょう。
ネットワーク上の通信においても、開いているポートの数だけ攻撃リスクが高まります。
外部に公開する必要がない「不必要なポートをふさぐ」ことで、不正アクセスのリスクを減らせます。
特に137番・138番の「NetBIOS」、Windows使用時に使われる135番・139番・445番「TCP/UDP」は脆弱性の高いポートといわれているため、使用していない場合は閉じた方が良いでしょう。
IPレピュテーションを利用する
「IPレピュテーション」とは過去の行動やリスク評価を行った結果「そのIPアドレスに与えられた評判・信用」のことです。
これはIPアドレスの信頼性をはかる指標となります。
リフレクション攻撃では脆弱なサーバが悪用されます。
攻撃に使われる恐れのある脆弱なサーバのIPアドレスを、あらかじめブロックしておきましょう。
オープンリゾルバを使わない
「オープンリゾルバ」とはインターネット上の不特定多数からのリクエストを受け付けるDNSサーバです。
最終的な回答が得られるまでリクエストし続けるうえ、IPアドレスを偽装しやすいUDPを用いてやりとりされるため、「DNSリフレクション攻撃」ではオープンリゾルバが踏み台として悪用されるケースが多々あります。
これを防ぐにはDNSの応答機能を持つサーバやルータの設定を無効にして、オープンリゾルバを使わないことが最も有効です。
リフレクション攻撃の踏み台にならないための対策
冒頭でお伝えした通り、リフレクション攻撃はWEBサイト運営者だけの問題ではありません。
この攻撃は「ボットネット」があってこそのもの。
一般ユーザーは「リフレクション攻撃の踏み台にされる」「犯罪に利用される」リスクにさらされています。
そのため「ボット」に感染しない対策を行うことが大切です。
「ボット」に感染しないためには、
- 不審なメールの添付ファイルは開かない
- 不審なWEBサイトを閲覧しない、サイト内の怪しいリンクをクリックしない
- スパムメールのリンクはクリックしない
- OSをこまめにアップデートし、常に最新の状態に更新する
- ウイルス対策ソフトを導入する
これらの対策を心掛けましょう。
リフレクション攻撃におすすめのセキュリティ商品
一般ユーザーのリフレクション攻撃対策に、最も効果的なのが「ウイルス対策ソフトの導入」です。
インターネット上の至る所に脅威が潜んでおり、今や「WEBサイト閲覧」そのものがリスクの1つとなっています。
そのため不正アクセスを防御・検知・駆除するセキュリティソフトで、対策する必要があるのです。
ここではリフレクション攻撃対策におすすめのセキュリティ商品をご紹介します。
不正サイトへの接続をブロック【ウイルスバスタークラウド】
さまざまな脅威に対する高い防御力と、直感的に操作できるデザイン性に定評のある総合セキュリティ対策商品「ウイルスバスタークラウド」。
マルウェアに感染する不正サイトをブロックして、WEB経由での侵入を阻止。
さらに複数の技術による多層防御によって、ウイルスに感染した可能性のあるマクロを含んだファイルや、マルウェア本体などを検出します。
仮に不正サイトに侵入した場合も遠隔操作サーバへのアクセスをブロック。
不審な活動をネットワークで監視するため、ボットネットとして機能するリスクを軽減できます。
まとめると以下の通り。
ウイルスバスタークラウドの特徴
- マルウェアに感染する不正サイトをブロック
- ウイルスに感染した可能性のあるファイルやマルウェア本体を検出
- 不正サイトに侵入した場合も遠隔操作サーバへのアクセスをブロック
「ウイルスバスタークラウド」詳細はこちら
亜種・新種マルウェアも検出【ESET】
進化し続ける最先端技術「ヒューリステック技術」によって、亜種・新種の幅広いマルウェアに対応する高いウイルス検出力が魅力の「ESET」。
軽快な動作かつ柔軟な運用が評判で、多くの企業で導入されています。
「ESET」の特徴は多層防御機能による不正なファイルやプログラムの入口・出口対策が可能な点です。
マルウェアが侵入するときにプロアクティブ検知機能がデータの中身や動作をチェックし、悪意あるプログラムの被害を入口で未然に防ぎます。
また「ボット」感染による不正な外部通信を検出・防御する出口対策機能もあるため、万が一のリスクも低減できます。
ファイウォール機能による不正侵入対策にも有効なため、フィッシング詐欺・ポートスキャン攻撃などといった他のサイバー攻撃も徹底ブロックできます。
「ESET」詳細はこちら
外部・内部の脅威を徹底ブロック【Cyber Box Pro】
- セキュリティの強度を高めるために、複数のセキュリティソフトを入れている企業は少なくありません…。
- 複数だからこそ多層的に対策できるのではないでしょうか?
- 複数のソフトを入れると互いをウイルスだと判断して、隔離しようとします。そのため動作に不具合が生じたり、負荷がかかりすぎて動作が重くなることも。
セキュリティソフトを入れるなら性能の良いものを1つだけにしましょう。
セキュリティを強化しつつ1つにまとめるなら「Cyber Box Pro」がおすすめです。
「Cyber Box Pro」は1台で企業に必要な「セキュリティ」「ログ管理」「バックアップ」のセキュリティ機能があります。
主なセキュリティ機能は以下の通り。
「Cyber Box Pro」の機能
- 「ESET」でウイルスや不正アクセスなどの外的脅威から防御
- 「ログ管理機能」でPCの操作状況の管理、外出中や離席中の操作ログを記録・管理。
- 「バックアップ機能」で想定外のデータ消失をブロック
企業に必要なセキュリティ機能が1つにまとまっているため、サーバに負担をかけずにすむうえ管理も簡単。
なにより複数の機能を1台にまとめることができるため、セキュリティ対策に関するコストを大幅に削減できます。
会社と社員の利益を守る高性能なセキュリティ商品をお探しでしたら「Cyber Box Pro」がおすすめです。
まとめ
ここまで「リフレクション攻撃」について解説してきました。
無防備なサーバを悪用して攻撃対象を機能不全に陥らせる「リフレクション攻撃」。
この攻撃による被害は、多くの企業が被害に遭った「DoS攻撃」よりも甚大になると予想されます。
そのうえ悪用されるのは必要不可欠なサーバであり、完全な対策が難しいのが現状です。
リフレクション攻撃を受けるリスクを減らすため、WEBサイトを運営する企業や組織は通常のセキュリティ対策にくわえ「脆弱なサーバ」を利用しない対策を行ってください。